<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <script>
        /*
        1、XSS (Cross Site Scripting)  跨站脚本攻击
        
            允许攻击者将恶意的代码植入到提供给其他用户使用的页面中
            XSS  涉及到三方，攻击者、客户端、web应用
            攻击目标是为了盗取存储在客户端的cookie或者其他用于识别客户端身份的敏感信息

            按照攻击来源 分为 存储型、反射型、DOM型
                存储型:攻击者将恶意代码提交到目标网站的数据库

            XSS 的预防
                攻击者提交的恶意代码
                浏览器执行恶意代码

        2、CSRF(Cross-site request forgery) 跨站请求伪造
            攻击者诱导受害者进入第三方网站，在第三方网站，向被攻击者发送跨站请求
            利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作

            例如:
                受害者登录a.com, 并保留了登录凭证
                攻击者引诱受害者访问了吧b.com,
                b.com向a.com发送了一个请求 a.com/act=xx,浏览器会默认携带啊a.com的Cookie

                如何预防:
                    阻止不明外域的访问
                    提交时要求附加本域才能获取的信息 Token,双重cookie认证


        3、SQL注入

            找出SQL漏洞的注入点

            预防: 对数据库的web应用程序采用web防火墙
                    过滤和转义特殊字符
        */ 
    </script>
</body>
</html>